朋友家的电脑上，发现上述如题情况，开始以为是360安全卫士的版本问题，6.1的版本，于是升级到最新的7.0beta版本，扫描系统补丁，虽然又多扫描出来一个必须要安装的excel补丁，但这个KB974318补丁依然是下载后安装失败。

没有办法，直接上网上下载安装吧！呵，盗版横行之下，360安全卫士的操作系统漏洞补丁搞得微软的自动升级大家都直接无视了。

看360论坛上，有些版主直接推荐大家启动到安全模式下，到360的hotfix目录中直接安装下载的升级补丁。但这个方法，据有些网友的反映，也不行。

有网友直接贴出来了这个补丁的360下载地址：

KB974318修复包： http://dlleak.360safe.com/leak/ceshi1/WindowsXP-KB974318-x86-CHS-360.exe

下载后直接安装就成了。如果不行，再到安全模式下。

随着新型技术的发展，以前认为不可能的想法，都会在突然之间，变为可能；就像以前人们认为的软件不可能破坏硬件一样，突然的CIH彻底改变了这一思维；现在，通过在bios中写入脚本来感染笔记本电池，少数电池组，powerkit不光可以在boot阶段运行（bios初始化过程中运行，引导前运行，操作系统电池确认工作都算是boot阶段）,还可以在系统运行起来后运行（在ring 0运行）。

新的bootkit藏身之处，部分笔记本的电池有独特的可交互的可以写入的组件，可以写入一个bootkit进去，而且执行权限是非常高的…

写了个测试脚本，在linux下可以成功进行电池的感染了（弄坏了电池…没有适合的bin写入~~因为电池组件第一次运行早于bios初始化完成…不过可以只修改电池某个的handler，这样可以在bios做引导前被调用——坏处是空间有限，复杂的事情搞起来很麻烦）。
Win下需要加载驱动后才能感染，而且十分复杂。

预测下：几年后 中了毒要重装系统要做的事情有：刷新bios(因为有bios rootkit的可能)，刷新声卡，网卡，显卡的ROM(各种可怕的kit),清空CPU的SMRAM(SMM Rootkit啊)，刷新硬盘的固件（HDDKit的存在），重新激活电池（干掉powerkit），最后完全格式化（完整的格式化，让每个磁道都重新初始化！！）硬盘（防止邪恶的tophet）…然后重装系统…

以上部分言论转引自neeao的“N年后重装操作系统流程图”，下图为neeao所书。 

确实难以想像，以后，杀毒软件该如何应对呢？

网页代码好写，但写完之后的一系列测试，也是一项比较缜密的工作，怎么样保持起码的安全呢？简单，请一款工作扫描一下自己的网站吧？

Wapiti是一个开源的安全测试工具，可用于Web应用程序漏洞扫描和安全检测，可到http://sourceforge.net/projects/wapiti/下载。
Wapiti是用Python编写的脚本，使用它需要Python的支持，也就是说要先安装好Python。

Wapiti执行的是“黑盒”方式的扫描，也就是说直接对网页进行扫描，而不需要扫描Web应用程序的源代码。Wapiti通过扫描网页的脚本和表单，查找可以注入数据的地方，Wapiti能检测以下漏洞： 

 1.文件处理错误。

2.数据库注入（包括PHP/JSP/ASP SQL注入和XPath注入）。

3.XSS（跨站脚本）注入。

4.LDAP注入。

5.命令执行检测（例如，eval（），system()，passtru（）等）。 

6. CRLF注入。

之所以把Wapiti称之为轻量级，是因为它的安全检测过程不需要依赖漏洞数据库，因此执行的速度会更快些。

Wapiti给我的感觉是“What a pity！”的意思，一个功能完整的Web应用，如果在安全方面有漏洞的话，就真的是“What a pity！”

让它来帮你扫描一下，安心了吧！小小帮手，为您解忧！

往往提供问题的解决方案，也许会陷入一个难堪的漏洞循环，环节越多，考虑的完善缜密性也要更全面，逻辑漏洞，在于人的惯性思维使然下，才会形成一种趋势，一种觉得很正常的变态法则。

商业逻辑漏洞发生可能性广泛
这样的商业逻辑漏洞也发生在常见的密码恢复认证机制上。Jeremiah Grossman指出，有许多Web服务机制为了降低解决用户忘记密码的困扰，并降低解决这类问题的成本，会设立所谓的安全问题，藉由回答安全性问题取得用户密码。不过，便曾经发生设定安全性问题时，其答案选项固定，尝试几次就会猜到。例如，安全性问题是最喜欢的颜色为何？但选项若指有红、黑、白等3个答案时，尝试几次错误之后，就可以破解了。

日前，Yahoo资安长Jeremiah Grossman首度发表商业逻辑漏洞（Business Logic Flaws）演说，直指这种商业逻辑漏洞将使得企业网站陷入危机，一个不注意可能导致企业营收损失。

Jeremiah Grossman是白帽（WhiteHat Security）安全资安顾问公司创办人兼技术长，也是美国黑帽（Black Hat）和DefCon黑客年会讲师。他从许多的资安事件发生的原因，归纳出一个对企业资安的威胁型态：商业逻辑漏洞。

在线拍卖造成可能的商业逻辑漏洞
商业逻辑漏洞其实就是，一般商业逻辑流程过程中，所出现的技术漏洞。曾经当过雅虎资安长的Jeremiah Grossman说：「在线拍卖就是一个常见的商业逻辑漏洞的案例。」

他进一步解释，在线购物网站为了避免黑客以暴力手法找出用户的密码，通常会在密码输入错误数次之后即锁定该账户。有心的黑客若要抢标，就可以利用这个逻辑上的漏洞来死锁其他竞标者，黑客只要以其他竞标者的账号，连续输入错误的密码来造成该帐户被系统死锁，再趁机抢标。

商业逻辑漏洞发生可能性广泛
这样的商业逻辑漏洞也发生在常见的密码恢复认证机制上。Jeremiah Grossman指出，有许多Web服务机制为了降低解决用户忘记密码的困扰，并降低解决这类问题的成本，会设立所谓的安全问题，藉由回答安全性问题取得用户密码。不过，便曾经发生设定安全性问题时，其答案选项固定，尝试几次就会猜到。例如，安全性问题是最喜欢的颜色为何？但选项若指有红、黑、白等3个答案时，尝试几次错误之后，就可以破解了。

另外，美国也有一些专业的产业媒体报导，为了怕影响股价，会在一定日期过后才能公开给特定的授权对象。Jeremiah Grossman说，这些文章其实老早就被上传到网络服务器上，等时间到才开放。但就有人发现每一篇文章的网址包含日期数字，具有规则性，透过猜出刊日期与文章数字的方式，轻易拆解出未公开文章的网址，并趁机获利上百万美元。

除了在线拍卖可能面临这种商业逻辑漏洞外，同样的方式也发生在交互式网络电视台、苹果MacWorld与Steve Jobs有约、在线游戏、在线赌博等商业流程中。

9成网站具有商业逻辑漏洞
Jeremiah Grossman表示，不论是信用卡事务数据传输，或者是密码复原，就是一般常见以Web为主的商业逻辑流程，这其中所有的技术弱点，都会是黑客专注攻击的目标。根据白帽安全资安顾问公司的统计，在扫描将近1,000个网站中，将近9成网站，具有商业逻辑流程的技术弱点。

企业使用Web应用程序的比例越来越高，Jeremiah Grossman表示，不论这些Web应用程序是客制化或者是由第三方厂商提供，大多经过良好的质量控管检测，加上这些可能的商业逻辑漏洞，也很难透过IDS（入侵检测系统）定义出缺陷、漏洞在哪，网络应用程序防火墙也很难抵抗这样缺陷、漏洞的发生。简而言之，就目前所有的防御工具而言，对于这种商业逻辑流程中所造成的技术漏洞，尚不能透过工具进行有效防御措施。

纵深防御是商业逻辑漏洞最好的预防之道
面对这种商业逻辑漏洞该怎么解决？Jeremiah Grossman表示，除了避免将用户账号、密码留存在网络上，容易被有心人追查相关隐私外，也建议在密码错误次数太多被封锁时，可以加上输入图片上数字的CAPTCHA 系统，以避免机器人暴力拆解密码的可能性。

由于这种商业逻辑漏洞问题的出现，往往不是程序本身有大的疏漏，Jeremiah Grossman表示，通常是在配合企业营运流程上的某一个关键点上的疏漏。所以，这样的缺陷、漏洞，也无法透过常见的IDS（入侵检测防御系统）等工具检查出来。

但Jeremiah Grossman说，还是有一些基本的预防之道。这种商业逻辑漏洞流量并未异常，因此很难藉由基本的网络应用程序防火墙、弱点扫描、安全的设定等方式，做到防护。但从最佳实务的角度来看，至少两名资安专家，佐以自动化的扫描工具，程序开发符合SDLC（软件开发生命周期），做到纵深防御，有助于发现商业逻辑漏洞。

另外，Jeremiah Grossman也建议，企业可做到资产追踪、安全度量以及符合开发框架等，也都是有效解决商业逻辑漏洞的方式

SaaS将是未来资安部署的最佳选择

Jeremiah Grossman表示，自动化扫描工具将有助于企业检视商业逻辑漏洞的资安威胁。而此次同样来台湾参加OWASP亚洲年会的Qualys首席资安研究员Mike Shema则指出，SaaS已经是目前自动化扫描工具的基本型态，企业可以透过SaaS部署企业资安软件。

Mike Shema表示，几年前美国企业对于SaaS（软件即服务）的作法还不信任，对于数据不存放在自家公司感到疑虑，但现在，美国企业已经理解到：问题不在数据放哪里，而是数据本身是否够安全。他说，也因为美国企业开始有足够的信任，许多提供自动扫描服务功能的资安公司，例如提供Port Scan的Qualys，都以SaaS方式提供企业客户相关的服务。

白帽（WhiteHat Security）安全资安顾问公司则在多年前便提供网络扫描的服务，也是以SaaS方式提供给企业。Jeremiah Grossman则是从这样的扫描结果，观察出商业逻辑漏洞的资安威胁。

总结得很典型，转载一下，以备友观。

从web的源头制止入侵
题记：昨天休息的时候，一个朋友给我信息说他公司的服务器被黑了，破坏者不停的修改替换主页，搞的他都怕了，查到了那家伙的ip地址，包括身份证号码，家庭住址。报警网警说会处理的，但是一直没人问津。也感叹一下有关部门态度，拿着我们纳税人的养着，却这样给我们服务。有关部门是否也该“市场经济”一把就好了。昨天过去帮他把服务器弄了一下，答应他给他整理一个文档出来的，昨天晚上一想，既然整理了，那就好好整理下，希望此文能给那些想处理好网站的安全而又没钱请专人做的公司以及个人能有点小小的帮助吧。此文为昨天在朋友整理服务器的全程记录，由于考虑到安全的原因，网站目录或者文件名称可能与其网站程序有差异。

本文的宗旨：可能有的人会问，关于Windows系统下的防止webshell的文章那么多，我再写此文简直多此一举，此言差亦。纵观以前大家写的关于windows下的防止webshell的文章，发现了一个小小的bug，那就是没有从源头上制止webshell的执行，就是说webshell可以上传到服务器（有时候是可以跳过默认上传目录的），但是有的还是能把当前站点给黑了的，就是可以将主页给替换了的。此文就是解决这样的一个问题，至于c盘的权限以及组件的删除什么的，以前的一些文章已经写的非常不错了，我在这里也就不再赘述了。

目前流行的通过web入侵的方法：
1、sql注入法：通过sql注入获取一定的后台权限，或者直接通过sql数据库备份一个shell。最早的出现的时间应该是在03年的时候了，通过经典的’or’ ’=’进化而来的。前54nb的小竹写的《sql注入天书》，可算是sql注入的经典，相应推出的nbsi的注入工具也是sql注入工具中的典范了。至今俺还保存着当初推出的beta版到现在的各种修改版。
2、上传法：指的是通过系统提供的web上传功能来直接上传一个shell来获取web控制权限。04年初出现的的，最早出现在dvbbs论坛的上传组建上，其原因是由于windows系统对于文件名的检查的顺序的问题；后来相继又出现了一种就是现在的动易的前身动力文章系统3.6版本，出现的多文件上传过滤不严引起的可以直接上传cer文件的方法。这两种方法应该是上传漏洞鼻祖了。其代表工具有：最早出现的臭要饭的upload工具，还有一个比较经典的就是桂林老兵写的那个，通用性极强。
3、还有一种就是所谓的旁注法了，其方法主要是通过whois工具查找服务器的域名列表，然后通过上述两种方法来获取权限，进而来入侵同一服务器上的目标的，因为其是通过服务器上的其他网站来入侵目标的，因而就称其为旁注了。最早出现的文章应该是B.C.T的老大h4k_b4n写的文章，那时候B.C.T还没有成立呢。

上面了解了下流行的web入侵方法，那下面来看下常用的web的网站系统的一些功能，下面动态的系统和静态的系统来分别说明下。
1、动态的系统：常用的功能有，文章发布，主要是将数据写到数据库中asp常用的主要是access和sql server。文章发布中可以需要一些上传图片的功能。基本目录结构及其所需要的最低的权限如下：
database //为数据库存在目录，可能有的系统的存放目录不一样，这里为了更直观，将其写为database。需要的权限有读取和修改权限，如果有备份数据功能的可能还要有写入的权限。
upload //上传图片的目录，需要有写入和读取的权限，修改权限。
images //系统使用的图片目录，读取权限即可
admin //后台管理目录，一般为asp文件，需要有读取权限。
/根目录，一般存放为asp文件，需要有读取权限。
2、静态页面的系统：指的是一些内容页生成静态页面，而主页和二级页面为动态的系统，现在这种系统居多。主要的功能有，上传图片，生成静态页面，acess数据库的可能还有个数据库备份功能。其基本目录结构如下：
database //为数据库存在目录，可能有的系统的存放目录不一样，这里为了更直观，将其写为database。需要的权限有读取和修改权限，如果有备份数据功能的可能还要有写入的权限。
upload //上传图片的目录，需要有写入和读取的权限。
images //系统使用的图片目录，读取权限即可
admin //后台管理目录，一般为asp文件，需要有读取和执行权限。
/根目录，一般存放为asp文件，需要有读取以及执行权限。
/html//此目录为生成静态页面的目录。需要有读取，修改以，写入权限。此文仅仅讨论生成的后缀为html，htm的情况。也是大部分程序生成的都为这些了。对比动态的多了一个生成静态页面的目录。

下面进入本文的重点：安全的设置。
对于sql注入的防范防范最好的是将所有的客户端提交的进入sql查询的参数全部过滤掉，这个对管理员的要求比较高了，需要懂程序开发才可以搞定的。而有一种比较简单的方法就是使用笔者以前写的一个小工具sql通用防注入系统.可以到我的网站下载：http://www.neeao.com/blog/article-2285.html.
主要说下如何防止上传漏洞的产生，sql注入比较好发现，对于上传的话如果懂的朋友也是可以用工具检测出来的，当然最好的方法就是修改程序，替换上传组件了。但这个相对于sql通用防注入的防范来说比较难了，没有通用的工具了。那么我们可以用服务器上的权限设置来防止破坏者上传或者上传后执行webshell。

1、先按照以前人总结的防止webshell文章给每个站点设置一个单独的账户，在这里，我为了方面说明，姑且假设我设置的web站点的主目录为：d:\web\neeao.com\，添加的iis匿名账户为web_neeao.com,所属组为guests。

2、设置web主目录的权限，删除除了administrators和system两个账户外的所有账户的访问权限，添加web_neeao.com,账户，将其权限设置为读取。并替换子目录下所有目录及文件权限，删除继承上级目录的权限。

3、设置上传目录的权限，我这里按照我上面列出的上传目录为uplaod，将其权限设置为读取及和写入还有修改权限，或许你有一个以上的上传目录，可以同样这样设置。

4、设置数据库目录的权限，我的数据库目录是database，将其权限设置为读取，写入和修改。或许你有一个以上的数据库目录，可以同样这样设置。

5、images目录权限，读取

6、admin目录，读取。

7、html目录，读取，写入。

上面的是针对磁盘的权限的设置，但是这样还是不行的，我们可以看出一些目录还是有写权限的，比如database、upload，以及html目录，如果asp文件传到这些目录的话同样是可以威胁网站安全的。

下面我们来看IIS中的设置：
在IIS管理器中左侧的站点列表中，单击站点前面的＋符合，可以看到下面有目录的列表，在database目录上单击鼠标右键，属性，将其脚本执行权限去掉，设置为无。Upload目录和html目录同样这样设置。这里需要注意下database目录设置的时候，可以将其目录设置重定向，防止访问者非法下载access数据库。

至此权限设置结束了，关于权限的设置

在当今中国市场上最主要的加密锁品牌有：

1、美国彩虹公司（也是最早做硬件加密的公司）的国产品牌“加密狗”、美国品牌“圣天诺软件加密锁”；

2、阿拉丁的“HASP”系列加密锁；

3、德国威博公司的“WBU－KEY”加密锁；

4、深思洛克的“深思加密锁”；

5、蓝宇风公司的“金盾加密锁”；

6、飞天公司的“ROCKEY”加密锁等几个主要品牌。

以上加密锁品牌的工作原理都是大同小异：被保护的软件－－加密锁之间形成一一对映的关系，被保护的软件在运行的过程当中不断通过其API函数向加密锁发指令来判断加密锁是否存在于，软件离开保护锁不能运行。

但是从其发展历程来看，以美国RAINBOW公司的产品生产研发的历程作一个简单的介绍：

1、从最早由美国RAINBOW公司生产的第一代硬件保护锁，只是通过一个简单查询函数来验证并口的硬件保护锁是否存在，存在则程序继续运行，不再则软件终止运行，来完成并保护软件开发商的利益；

2、接着依然是美国RAINBOW公司对自己的第一代的产品进行了改进而形成了第二代的加密锁产品，并且美国RAINBOW公司为其第二代产品取名为：SENTINEL　PRO，其与第一代的产品相比较最大的改变在于加密锁硬件里头的运算芯片由RAINBOW公司写入了一个固定的“加密算法”，但这个算法是单一的固定的。以上两种产品对于软件开发商来说有一个相当大的风险，那就是其必需相信RAINBOW公司不会把买给他们的加密锁买给别的个人，如果RAINBOW把相同的产品出售给别人的话，别人拿到这个加密锁就能使用开发商的软件。

3、通过软件开发商对这个问题的重视，RAINBOW公司针对这种情开发出了第三代的加密产品：SENTINEL　SUPERPRO，这种产品彻底解决了软件开发商的后顾之忧。这种产品其运算芯片中内置了28种算法，共分为56个单元，每两个单元可以单独保护一个应用程序，故用RAINBOW公司的说法其一把锁可以保护28个应用程序；且这种加密锁的每个算法单元所采用的算法因子是由软件开发商自己设定的，当其写入加密锁后对于外界来说就相当于一个暗箱，是任何人也读不出来的。

4、但随着解密者的技术的不断提高，RAINBOW中国公司研发出了第四代的产品－智能狗，与现今的差不多所有品牌的加密锁相比较，这种狗有了一个质的飞跃：其通过在开发过程中把一段代码加密后写入加密狗，当程序运行时再把加密狗里的代码在加密狗里自行运行，程序调用其运算结果来完成软件的加密，如此就从理论上杜绝了软件被破解的可能。

现在市面上的加密狗的工作原理不外乎RAINBOW的这两种形式：

1、程序发命令查询－－加密狗运算后相应程序；

2、把源代码放入加密狗内部执行（现在还只有RAINBOW公司一家有此功能的加密狗）。